Sicherheitsupdate: Exploit nutzt Sicherheitslücke in Chrome aus

Google hat zwei Sicherheitslücken in seinem hauseigenen Browser Chrome geschlossen. Für eine der beiden Lücken soll ein Exploit existieren, der bereits aktiv eingesetzt wird. Nutzer des Browsers und seiner Derivate sollten schnellstmöglich das Update einspielen.

Artikel veröffentlicht am ,
Achtung: Google warnt vor einer Sicherheitslücke in Chrome, die bereits aktiv ausgenutzt wird.
Achtung: Google warnt vor einer Sicherheitslücke in Chrome, die bereits aktiv ausgenutzt wird. (Bild: NickyPe/Pixabay)

Google warnt in einem Blogeintrag vor zwei Sicherheitslücken im hauseigenen Chrome-Browser. Eine soll bereits aktiv ausgenutzt worden sein. Beide wurden jedoch in Version 78.0.3904.87 von Chrome sowie der Entwicklerversion Chromium behoben.

Stellenmarkt
  1. IT-Anwendungsbetreuer (m/w/d) mit Schwerpunkt PDM-Systeme
    Alexander Binzel Schweisstechnik GmbH & Co.KG, Dresden, München, Gießen, Berlin
  2. (Junior) Data Warehouse & BI Berater:in
    viadee Unternehmensberatung AG, Münster, Köln oder Dortmund
Detailsuche

Die bereits aktiv ausgenutzte Sicherheitslücke (CVE-2019-13720) steckte in der Audiokomponente des Browsers. Gemeldet wurde die Sicherheitslücke am 29. Oktober 2019 von den Sicherheitsforschern Anton Ivanov und Alexey Kulaev von Kaspersky Labs. Laut dem Blogeintrag von Google handelt es sich um einen Use-After-Free-Bug. Diese Fehler gehören zu den häufigsten in Browsern. Sie treten auf, wenn eine Software versucht, bereits freigegebenen Speicher erneut zu verwenden. Sie anzugreifen, ist dank Sicherheitsmechanismen in moderner Software sehr aufwendig, aber aufgrund ihrer Häufigkeit gehören sie trotzdem zu den wichtigsten Angriffsvektoren. In diesem Fall soll ein Exploit verfügbar sein und die Lücke bereits aktiv ausgenutzt werden.

Bei der zweiten Sicherheitslücke (CVE-2019-13721) handelt es sich ebenfalls um einen Use-After-Free-Bug, den der Sicherheitsforscher Banananapenguin bereits am 12. Oktober 2019 an Google meldete. Die Sicherheitslücke steckt in PDFium, einer Google-Bibliothek, die zum Erstellen und Anzeigen von PDF-Dokumenten verwendet wird. In Chrome wird sie zur Anzeige von PDFs und der Druckansicht genutzt, in Android, um PDFs zu rendern. Google weist darauf hin, dass weitere Informationen erst veröffentlicht würden, wenn ein Großteil der Chrome-Nutzerbasis das Update eingespielt habe.

Bereits im März entdeckte Clement Lecigne von Googles Threat Analysis Group eine Zeroday-Chain. Dabei handelt es sich um die Kombination von mehreren bisher unbekannten Sicherheitslücken, die bereits aktiv ausgenutzt wurden. Die Fehler wurden in Chrome 72.0.3626.121 behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Verwirrendes USB
Trennt die Klassengesellschaft!

USB ist ziemlich verwirrend geworden, daran werden auch neue Logos nichts ändern. Das Problem ist konzeptuell.
Ein IMHO von Johannes Hiltscher

Verwirrendes USB: Trennt die Klassengesellschaft!
Artikel
  1. Bundesgerichtshof: Ebay-Bewertungen dürfen auch ungerecht sein
    Bundesgerichtshof
    Ebay-Bewertungen dürfen auch ungerecht sein

    Ein Käufer, der sich über gängige Portokosten beschwert hat, kann weiter "Ware gut, Versandkosten Wucher" erklären. Der Bundesgerichtshof sieht dies nicht als Schmähkritik, sondern durch die Meinungsfreiheit geschützt.

  2. Berufsschule für die IT-Branche: Leider nicht mal ausreichend
    Berufsschule für die IT-Branche
    Leider nicht mal "ausreichend"

    Lehrmaterial wie aus einem Schüleralbtraum, ein veralteter Rahmenlehrplan und nette Lehrer, denen aber die Praxis fehlt - mein Fazit aus drei Jahren als Berufsschullehrer.
    Ein Erfahrungsbericht von Rene Koch

  3. Next Generation wird 35: Der Goldstandard für Star Trek
    Next Generation wird 35
    Der Goldstandard für Star Trek

    Mit Next Generation wollte Paramount den Erfolg der ursprünglichen Star-Trek-Serie nutzen - und schuf dabei eine, die das Original am Ende überstrahlte.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Controller GoW Ragnarök Edition vorbestellbar • Saturn Technik-Booster • Viewsonic Curved 27" FHD 240 Hz günstig wie nie: 179,90€ • MindStar (Gigabyte RTX 3060 Ti 499€, ASRock RX 6800 579€) • AMD Ryzen 7000 jetzt bestellbar • Alternate (KF DDR5-5600 16GB 96,90€) [Werbung]
    •  /